După ce am cântat o noapte, am @SlowMist_Team această tehnică pentru a ne pregăti pentru iarnă, dar a fost folosită puțin prea mult în sălbăticie. Dacă joci Vibe Coding sau juci aceste IDE-uri mainstream, trebuie să fii precaut când deschizi orice proiect, cum ar fi Open Folder, pentru a deschide un proiect, iar acesta poate fi executat prin comenzi de sistem la deschidere, cum ar fi Windows/Mac. Acordă o atenție specială lui Cursor, deschide directorul proiectului construit malefic și vei fi păcălit direct, ceea ce este foarte mătăsos. Deoarece este folosit în sălbăticie, mai mulți jucători de programare AI au fost deja recrutați sub un simplu avertisment. CC @im23pds @SlowMist_Team

Gata să @cursor_ai anunți pentru a remedia această exploatare, cine are o modalitate directă de a comunica?

@cursor_ai trimis @cursor_ai detalii despre vulnerabilități + PoC + capturi de ecran conexe, sperând să rezolve această problemă cât mai repede.

Răspunsuri și probleme cunoscute, vezi declarația oficială Cursor: Workspace Trust este dezactivat implicit în Cursor. Îl poți activa setând 'true' în setările Cursorului. Îl dezactivăm implicit pentru a evita confuzia între "Modul restricționat" al Workspace Trust și "Modul de confidențialitate" al Cursor, și pentru că proprietățile sale de încredere sunt destul de subtile și greu de înțeles (de exemplu, chiar și cu Workspace Trust activat, nu ești protejat împotriva extensiilor malițioase, ci doar a folderelor malițioase). Nucleul este "destul de subtil și greu de înțeles" aici, așa că pur și simplu dezactivăm Workspace Trust. Nu e de mirare că opoziția profită tot mai mult de asta, iar din moment ce oficialul este această declarație, una dintre victime, @brucexu_eth, o poate dezvălui direct... 🤣